Datenschutz-Grundverordnung: Was sich bei den Software-Einstellungen ändern muss

Die Datenschutz-Grundverordnung verlangt, dass die Voreinstellungen in Software zu mehr Datenschutz führen und den Nutzer im Datenschutz unterstützen.

Viele Softwarelösungen stehen in der Kritik, die personenbezogenen Daten der Nutzer ohne Einwilligung und Information...

zu sammeln, auszuwerten oder weiterzugeben.

Von so manchem Softwareanbieter hört man dann, dass die Nutzer die Datensammlung, Datenanalyse oder Datenweitergabe einschränken oder stoppen könnten, wenn sie das wollen. Dazu gäbe es entsprechende Einstellungen und Datenschutzoptionen.

Schon heute und unter Beachtung des Bundesdatenschutzgesetzes (BDSG) ist das Argument dieser Softwareanbieter falsch. Für die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten der Nutzer ist eine informierte Einwilligung der Betroffenen oder eine andere Rechtsgrundlage erforderlich.

Mit der Datenschutz-Grundverordnung (DSGVO) wird die entsprechende Forderung explizit genannt: Privacy by Default, Datenschutz durch datenschutzfreundliche Voreinstellungen.

Datenschutz bereits in den Standardeinstellungen

Den Forderungen nach Privacy by Design und Privacy by Default wird in der DSGVO ein eigener Artikel (Artikel 25 DSGVO) gewidmet, was die Bedeutung dieser Datenschutz-Prinzipien unterstreicht. Die datenschutzfreundlichen Voreinstellungen sollen gleich mehrere Vorteile für den Datenschutz bewirken:

  • Auf Basis der Voreinstellung sollen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
  • Die Menge der erhobenen personenbezogenen Daten soll dementsprechend per Voreinstellung begrenzt werden.
  • Der Umfang ihrer Verarbeitung soll entsprechend beschränkt werden.
  • Die Speicherfrist soll passend dazu definiert und eingehalten werden.
  • Der Zugang zu den Daten soll entsprechend begrenzt werden.

Laut DSGVO sollen die Voreinstellungen und zugehörigen technisch-organisatorischen Maßnahmen „insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden“. Das bedeutet auch, dass die Voreinstellung nicht so gewählt sein soll, dass die Daten des Nutzers frei im Internet zugänglich werden. Denkt man an die Voreinstellungen bestimmter Online-Portale oder sozialer Netzwerke, passiert aber genau das durch die Voreinstellungen: Die Daten werden für jeden sichtbar im Internet veröffentlicht.

Entwickler und Anwenderunternehmen müssen umdenken

Privacy by Default und datenschutzfreundliche Voreinstellungen klingen nach Anforderungen, die die Softwareanbieter oder die internen Softwareentwickler umzusetzen haben. Natürlich richtet sich die DSGVO auch an diese Gruppen. Aber auch jedes Anwenderunternehmen muss prüfen, ob die Voreinstellungen bereits datenschutzfreundlich sind.

Zum einen gilt die Forderung auch für Bestandssoftware, die durch lokale oder zentrale Einstellungen so angepasst werden soll, dass der Datenschutz unterstützt wird. Zum anderen müssen die Nutzer über die Bedeutung der Standardeinstellungen in einer Datenschutzunterweisung informiert werden, und die Administratoren müssen wissen, dass sie keine Einstellungen zentral vorgeben, die dem Datenschutz entgegensteht.

Jedes Unternehmen und nicht nur die Softwareanbieter sollten nun bei der laufenden Umstellung auf die Datenschutz-Grundverordnung die Einstellungen ihrer Softwarelösungen und anderer IT-Systeme in den Blick nehmen, ob die Daten durch andere Einstellungen besser geschützt werden könnten. Der Standard muss für mehr Datenschutz stehen und nicht für Datenweitergabe an Dritte oder öffentliche Datenpreisgabe, wie dies teilweise noch der Fall ist. Datenschutz ist keine Frage der Einstellung, sondern Pflicht, wohl aber eine Einstellungssache.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Die meisten Cloud-Apps sind nicht bereit.

Die Informationspflichten nach EU-DSGVO: Wie man sich vorbereiten muss.

EU-Datenschutz-Grundverordnung – was Unternehmen beachten sollten.

Datenschutz-Grundverordnung: Worauf bei der Cloud-Migration zu achten ist.

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close